Un antivirus ne suffit pas : compte tenu de l’intensification des menaces polymorphes et de l’explosion des variantes uniques de programmes malveillants en 2009, l’industrie s’est rapidement rendu compte que les approches traditionnelles des antivirus (avec bases de données des signatures de fichiers et aux fonctionnalités heuristiques/comportementales) n’assurent plus une protection suffisante contre les menaces actuelles. Nous avons atteint un point d’inflexion où, dans un temps donné, il se crée davantage de nouveaux programmes malveillants que de programmes légitimes. Dans ce contexte et à ce stade, il ne rime plus à rien de se concentrer uniquement sur l’analyse des programmes malveillants. Les approches de sécurité les plus performantes en 2010 seront celles qui porteront sur l’ensemble des fichiers logiciels, à l’image de la nouvelle technologie de sécurité basée sur la réputation.


L’ingénierie sociale comme principal vecteur d’attaque : les agresseurs s’en prennent de plus en plus à l’utilisateur final directement en l’incitant à télécharger des programmes malveillants ou à divulguer des informations sensibles sous couvert d’un démarchage apparemment totalement innocent. La popularité de l’ingénierie sociale s’explique, du moins en partie, par le fait que peu importent le système d’exploitation et le navigateur Web installés sur l’ordinateur de la victime, puisque c’est l’utilisateur en tant que tel qui est ciblé et pas nécessairement les vulnérabilités que peut présenter sa machine. L’ingénierie sociale est d’ores et déjà un des premiers vecteurs d’attaque utilisés et Symantec estime que le nombre des tentatives d’attaques au moyen des techniques d’ingénierie sociale augmentera à coup sûr en 2010.

Les fournisseurs de logiciels de sécurité factices redoublent d’efforts : en 2010, ceux qui propagent des scams de logiciels de sécurité factices  passeront à la vitesse supérieure, allant jusqu’à détourner l’ordinateur d’une victime, le rendre inutilisable et demander une rançon pour rendre la main. La prochaine évolution, moins radicale, portera probablement sur des logiciels non explicitement malveillants mais au mieux douteux. Par exemple, Symantec a déjà observé que des fournisseurs de faux antivirus vendent des copies de logiciels antivirus gratuits dont ils changent simplement la marque pour se les approprier. Dans ce cas, l’utilisateur obtient bien ce qu’il a payé, mais il aurait pu télécharger gratuitement le même logiciel ailleurs.

Les applications de tiers associées aux réseaux sociaux seront la cible de fraudes : avec la popularité des sites de réseaux sociaux qui devrait se confirmer en 2010, il est probable que l’on assiste à une recrudescence des fraudes à l’encontre des adeptes de ces sites. Dans la même veine, les propriétaires de ces sites vont probablement instaurer des mesures proactives pour contrer ces menaces. Dans ce contexte et à mesure que ces sites proposent volontiers l’accès à leurs API à des développeurs indépendants, les agresseurs vont probablement cibler les vulnérabilités des applications de tiers pour toucher les comptes des utilisateurs des réseaux sociaux. C’est ce qui s’était déjà passé avec les plug-ins de navigateurs à mesure que les navigateurs Web renforçaient leur sécurité.

Windows 7 dans les mailles du filet des agresseurs : Microsoft a déjà distribué les premiers correctifs de sécurité pour son nouveau système d’exploitation. Tant que des hommes programmeront du code informatique, les logiciels seront faillibles quand bien même les tests précédant la commercialisation auront été pointus et complets. Et plus le code est complexe, plus le risque qu’on ne détecte pas toutes les vulnérabilités est grand. Le nouveau système d’exploitation de Microsoft ne fait pas exception, et plus Windows 7 se généralisera en 2010, plus les assaillants trouveront les moyens d’en abuser les utilisateurs.

Augmentation des botnets Fast Flux : « Fast flux » est une technique qu’emploient certains botnets, comme Storm, pour masquer des sites de phishing et autres sites Web malveillants derrière un réseau en évolution permanente d’hôtes corrompus servant de proxy. L’association réseau peer-to-peer, commande et contrôle distribués, équilibrage de charge basé sur le Web et redirection de proxy complique le traçage de la position géographique d’origine des botnets. A mesure que les dispositifs de lutte contre les botnets traditionnels en limitent l’efficacité, on risque d’assister au succès de cette technique d’attaque.

Les services de raccourcissement d'url, futurs meilleurs amis des adeptes du phishing : comme les utilisateurs n’ont souvent aucune idée de là où une URL raccourcie va les emmener, les adeptes du phishing maquillent volontiers des liens et l’utilisateur lambda a tout intérêt à y réfléchir deux fois avant de cliquer dessus. Symantec constate déjà une tendance à utiliser cette tactique pour distribuer des applications trompeuses, et ce n’est que le début. Les spammeurs misant volontiers sur l’obscurcissement pour passer au travers des filtres antispam, il est probable qu’ils se servent également des services de raccourcissement d'url pour perpétrer leurs délits.

Intensification annoncée des logiciels malveillants ciblant les Mac et les terminaux mobiles : le nombre des attaques d’un système d’exploitation ou d’une plate-forme en particulier est directement proportionnel à la part de marché du système ciblé. En effet, ceux qui créent des programmes malveillants le font pour l’argent et privilégient bien entendu la poule aux œufs d’or. En 2009, ils ont davantage ciblé les Mac et les smartphones, à l’image du botnet Sexy Space conçu pour exploiter le système d’exploitation de terminal mobile Symbian et du cheval de Troie OSX.Iservice ciblant les utilisateurs de Mac. A mesure que les ventes de Mac et de smartphones augmenteront en 2010, davantage d’agresseurs passeront du temps à créer des programmes malveillants pour exploiter ces terminaux.

Les spammeurs changent les règles : dans le contexte économique défavorable, les individus seront de plus en plus nombreux à vouloir profiter des insuffisances de la législation, le CAN SPAM Act par exemple. Les entreprises seront donc tentées de vendre des listes d’e-mails sans accord à des agences de marketing peu scrupuleuses qui en profiteront pour bombarder les destinataires de spams.

Les volumes de spams vont continuer de fluctuer au gré de l’adaptation des spammeurs : depuis 2007, le volume des spams a augmenté de 15 % en moyenne. Ce fort taux de développement des e-mails indésirables va forcément ralentir à long terme, mais pour le moment les spammeurs ne sont pas prêts à abandonner la manne économique qu’ils y voient. Les volumes des spams vont continuer de fluctuer en 2010 tandis que les spammeurs continuent de s’adapter à la sophistication des logiciels de sécurité, ainsi qu’aux mesures que prennent les FAI responsables et les administrations du monde entier.

Logiciels malveillants spécialisés : en 2009, on a découvert des logiciels malveillants ultra spécialisés conçus pour exploiter certains distributeurs de billets. Des initiés savaient forcément comment fonctionnent ces distributeurs et comment faire pour les abuser. Cette tendance devrait se confirmer en 2010, quitte à envisager des attaques de systèmes de vote électronique, pour les élections mais aussi pour les votes par téléphone, comme ceux utilisés par les émissions de téléréalité et les concours.

Perfectionnement de la technologie CAPTCHA : les spammeurs vont avoir de plus en plus de mal à craquer les codes CAPTCHA au moyen de processus automatisés. Il est donc probable, essentiellement dans les pays en voie de développement, que l’on recrute des individus pour créer manuellement de nouveaux comptes d’envoi de spam, en vue de contourner la technologie perfectionnée. Symantec estime que les personnes embauchées pour créer manuellement ces comptes seront payées moins de 10 % de ce qu’il en coûtera aux spammeurs, les propriétaires des comptes facturant 30 à 40 dollars les 1 000 comptes.

Spam de messagerie instantanée : tandis que les cybercriminels cherchent de nouveaux moyens pour contourner les technologies CAPTCHA, les attaques des applications de messagerie instantanée vont se multiplier. Les menaces d’IM (Instant Messenger) consisteront en majorité en des messages au contenu indésirable comportant des liens malveillants, avec principalement pour objectif de corrompre de véritables comptes IM. D’ici fin 2010, Symantec prévoit qu’un message IM sur 300 comportera une URL. De même, en 2010, Symantec prévoit que, de manière générale, un lien hypertexte sur 12 pointera vers un domaine connu pour héberger des logiciels malveillants. Un lien hypertexte sur 12 figurant dans des messages IM comportera donc un domaine déjà identifié comme suspect ou malveillant. A titre de comparaison,  mi-2009, le chiffre était d’1 lien hypertexte sur 78.

Multiplication des spams dans d’autres langues que l’anglais : les connexions haut débit se généralisant partout dans le monde, et plus particulièrement dans les pays en voie de développement, de plus en plus de spams proviendront de pays non-anglophones. Dans certains pays d’Europe, Symantec estime que les spams localisés pourront représenter plus de la moitié de tous les spams en circulation.